Apple: MacOS weiter für Sudo-Lücke verwundbar

Apple hat die trivial ausnutzbare Sicherheitslücke in Sudo offenbar noch nicht in MacOS behoben. Darauf weisen Sicherheitsforscher hin.

Artikel veröffentlicht am ,
Das Logo von Sudo ist ein Sandwich.
Das Logo von Sudo ist ein Sandwich. (Bild: Pixabay/Pexels)

Das von Apple zu Wochenbeginn veröffentlichte Sicherheitsupdate für die aktuellen MacOS-Versionen behebt eine bekannte Sicherheitslücke in dem Werkzeug Sudo offenbar nicht und die Mac-Rechner sind entsprechend weiter verwundbar. Darauf weist unter anderem der Sicherheitsforscher Matthew Hickey auf Twitter hin. Die Sicherheitslücke (CVE-2021-3156) lässt sich demnach auch unter MacOS weiter leicht ausnutzen.

Stellenmarkt
  1. Storage Engineer Backup (m/w/d)
    operational services GmbH & Co. KG, Zuffenhausen
  2. Referent (m/w/d) für IT und Informationssicherheit
    PSI Software AG Geschäftsbereich PSI Energie EE, Dortmund
Detailsuche

In der vergangenen Woche hatte das Forschungsteam des IT-Security-Unternehmens Qualys die Sicherheitslücke in dem Werkzeug Sudo bekanntgegeben. Das Werkzeug dient eigentlich dazu, dass Kommandos zwischenzeitlich mit erweiterten Rechten ausgeführt werden können, dabei aber nicht dauerhaft der Root-Account benutzt werden muss. Sudo ist auf so ziemlich jedem Unix-artigen Betriebssystem vorhanden, was neben Linux-Distributionen auch für MacOS gilt.

In der Ankündigung der Lücke hieß es: "Jeder nicht privilegierte Benutzer kann mit Hilfe einer Standard-Sudo-Konfiguration Root-Berechtigungen für einen anfälligen Host erhalten, indem diese Sicherheitslücke ausgenutzt wird". Unter MacOS gilt das zwar offenbar nicht unmittelbar, mit einigen Anpassungen könne die Sudo-Lücke aber auch unter MacOS genutzt werden, um Root-Rechte ohne eine Überprüfung zu erlangen.

Wie Hickey dem Magazin ZDnet sagte, reiche es, lediglich eine Verknüpfung (Symlink) zu erstellen oder die Argumente des Befehls (argv[0]) zu überschreiben, um die Lücke auszunutzen. Der Fehler wurde inzwischen auch von anderen Sicherheitsforschern auf MacOS bestätigt. Hickey hat die Sicherheitslücke eigenen Angaben zufolge inzwischen auch selbst an Apple gemeldet. Warum Apple die Lücke nicht bereits durch ein Update behoben hat und ob das Unternehmen zum Beispiel ursprünglich nicht an der koordinierten Veröffentlichung beteiligt wurde, ist derzeit nicht bekannt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Klimaforscher
Das Konzept der Klimaneutralität ist eine gefährliche Falle

Mit der Entnahme von CO2 in den nächsten Jahrzehnten netto auf null Emissionen zu kommen, klingt nach einer guten Idee. Ist es aber nicht, sagen Klimaforscher.
Von James Dyke, Robert Watson und Wolfgang Knorr

Klimaforscher: Das Konzept der Klimaneutralität ist eine gefährliche Falle
Artikel
  1. 30.000 Menschen sahen zu: Bitcoin-Diebe lockten mit gefälschtem Apple-Livestream
    30.000 Menschen sahen zu
    Bitcoin-Diebe lockten mit gefälschtem Apple-Livestream

    Cyberkriminelle haben auf Youtube eine Keynote des Herstellers Apple vorgetäuscht, um Zuschauer um Bitcoin zu betrügen.

  2. Eco-SIM: Vodafone führt die recycelte SIM-Karte ein
    Eco-SIM
    Vodafone führt die recycelte SIM-Karte ein

    Laut Vodafone ist das Netz schon grün. Auch die SIM-Karte soll umweltfreundlich werden. Doch ganz so einfach ist es nicht.

  3. M1 Pro/Max: Dieses Apple Silicon ist gigantisch
    M1 Pro/Max
    Dieses Apple Silicon ist gigantisch

    Egal ob AMD-, Intel- oder Nvidia-Hardware: Mit dem M1 Pro und dem M1 Max schickt sich Apple an, die versammelte Konkurrenz zu düpieren.
    Eine Analyse von Marc Sauter

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week: Bis zu 16% auf SSDs & RAM von Adata & bis zu 30% auf Alternate • 3 Spiele für 49€: PC, PS5 uvm. • Switch OLED 369,99€ • 6 Blu-rays für 40€ • MSI 27" Curved WQHD 165Hz HDR 479€ • Chromebooks zu Bestpreisen • Alternate (u. a. Team Group PCIe-4.0-SSD 1TB 152,90€) [Werbung]
    •  /